În ultimii ani s-a înregistrat o escaladare dramatică a amenințărilor la adresa securității cibernetice. Potrivit unui raport al The New York Times, peste 200.000 de organizații au fost atacate cu ransomware în 2019, în creștere cu 41% față de anul precedent.
Pentru a vă ajuta să vă protejați, am compilat o listă de setări importante de securitate a datelor care sunt adesea trecute cu vederea. La final, am inclus sfaturi bonus care vă pot ajuta să asigurați integritatea datelor – un alt pilon al protecției datelor.
Notă: Majoritatea setărilor enumerate mai jos pot fi accesate și modificate numai de un cont de utilizator cu drepturi de administrare.
Sfat 1: Dezactivați contul de administrator implicit
Numele de utilizator obișnuite ale administratorului vă pot face Synology NAS vulnerabil la persoanele rău intenționate care folosesc atacuri de forță brută (brute-force) care utilizează combinații comune de nume de utilizator și parole. Evitați numele comune, cum ar fi „admin”, „administrator”, „root”* atunci când vă configurați NAS-ul. Vă recomandăm să setați și o parolă puternică și unică imediat după configurarea Synology NAS și să dezactivați contul de administrator implicit al sistemului**.
Dacă în prezent vă conectați utilizând contul de utilizator „admin”, accesați Control Panel > User și creați un nou cont de administrare. Apoi conectați-vă folosind noul cont și dezactivați „admin” implicit al sistemului.
* „root” nu este permis ca nume de utilizator.
** Dacă este configurat folosind un alt nume de utilizator decât „admin”, contul implicit va fi deja dezactivat.
Sfat 2: Puterea parolei
O parolă puternică vă protejează sistemul de accesul neautorizat. Creați o parolă complexă care încorporează litere mixte, cifre și caractere speciale într-un mod pe care numai dvs. vă puteți aminti.
Folosirea unei parole comune pentru multe conturi este, de asemenea, o invitație pentru hackeri. Dacă un cont este compromis, hackerii pot prelua cu ușurință controlul asupra celorlalte conturi ale tale. Acest lucru se întâmplă în mod regulat pentru site-uri web și pentru alți furnizori de servicii. Vă recomandăm să vă înscrieți la servicii publice de monitorizare, cum ar fi Have I Been Pwned sau Firefox Monitor.
Dacă întâmpinați probleme la memorarea parolelor complexe și unice pentru diferite conturi, un manager de parole (cum ar fi 1Password, LastPass sau Bitwarden) ar putea fi cea mai bună soluție. Trebuie să memorați doar o singură parolă – o parolă principală – iar managerul de parole vă va ajuta să creați și să completați acreditările de conectare pentru toate celelalte conturi ale dumneavoastră.
Dacă administrați un Synology NAS care se ocupă de autentificare*, puteți personaliza politica privind parola utilizatorului pentru a înăspri cerințele de securitate pentru parole pentru toate conturile de utilizator noi. Accesați Control Panel > User > Advanced și bifați caseta de selectare Apply password strength rules din secțiunea Password Settings. Politica va fi aplicată oricărui utilizator care își creează un cont nou.
* Opțiuni similare sunt disponibile și în pachetele Server LDAP și Server Directory.
Sfat 3: Rămâneți la curent și activați notificările
Lansăm actualizări DSM în mod regulat pentru a oferi îmbunătățiri funcționale și de performanță și pentru a rezolva vulnerabilitățile de securitate ale produsului.
Ori de câte ori apare o vulnerabilitate de securitate, echipa noastră de răspuns la incidente de securitate a produselor (Product Security Incident Response Team – PSIRT) va efectua o evaluare și o investigație în termen de 8 ore și va lansa un patch în următoarele 15 ore pentru a ajuta la prevenirea potențialelor daune cauzate de atacurile zero-day.
Pentru majoritatea utilizatorilor, vă recomandăm insistent să configurați actualizările automate pentru a avea cele mai recente actualizări DSM instalate automat.*
Un alt lucru important de luat în considerare este să fiți la curent cu lucrurile pe măsură ce apar. Configurați notificări pe Synology NAS și primiți notificări prin e-mail, SMS, pe dispozitivul dvs. mobil sau prin browser-ul dvs. web atunci când apar anumite evenimente sau erori. Dacă utilizați serviciul DDNS al Synology, puteți alege să fiți notificat când se pierde conexiunea la rețeaua externă. Acțiunea imediată după primirea notificărilor pentru volumele de stocare care rămân fără spațiu sau atunci când o sarcină de backup și restaurare eșuează este o parte importantă a asigurării securității pe termen lung a datelor dvs.
De asemenea, vă încurajăm să vă configurați contul Synology pentru a primi buletinele noastre informative privind NAS și securitate pentru a fi la curent cu cele mai recente actualizări de securitate și caracteristici.
* Actualizarea automată acceptă doar actualizări minore ale DSM. Actualizările majore necesită instalare manuală.
Sfat 4: Verificare în doi pași
Dacă doriți să adăugați un nivel suplimentar de securitate contului dvs., vă recomandăm să activați verificarea în doi pași. Pentru a impune verificarea în doi pași pentru contul dvs. DSM și contul Synology, veți avea nevoie de un dispozitiv mobil și de o aplicație de autentificare care acceptă protocolul TOTP (Time-based One-Time Password). Conectarea va necesita atât acreditările dvs. de utilizator, cât și un cod limitat de 6 cifre preluat din Microsoft Authenticator, Authy sau alte aplicații de autentificare pentru a preveni accesul neautorizat.
Pentru contul Synology, dacă v-ați pierdut telefonul cu aplicația de autentificare*, puteți utiliza codurile de rezervă furnizate în timpul configurării autentificării în 2 pași pentru a vă conecta. Este important să păstrați aceste coduri în siguranță, descărcându-le de undeva sau imprimându-le. Amintiți-vă să păstrați se codurile sigure, dar accesibile.
Pe DSM, dacă vă pierdeți autentificatorul, puteți reseta verificarea în 2 pași ca ultimă soluție. Utilizatorii care aparțin grupului de administratori pot reseta configurația.
Dacă toate conturile de administrator nu mai sunt accesibile, va trebui să resetați acreditările și setările de rețea de pe dispozitiv. Țineți apăsat butonul RESET hardware de pe NAS timp de aproximativ 4 secunde (veți auzi un bip) și apoi lansați Synology Assistant pentru a vă reconfigura dispozitivul.**
* Unele aplicații de autentificare acceptă metode de backup și restaurare bazate pe contul unei terțe părți. Evaluați cerințele dvs. de securitate în comparație cu opțiunile de confort și de recuperare în caz de dezastru.
** SHA, VMM, montarea automată a folderului partajat criptat, setările multiple de securitate, conturile de utilizator și setările portului vor fi resetate. Citiți mai multe despre procesul de resetare.
Sfat 5: Rulați Security Advisor
Security Advisor este o aplicație preinstalată care vă poate scana NAS-ul pentru probleme obișnuite de configurare DSM, oferindu-vă sugestii despre ce ar putea fi necesar să faceți în continuare pentru a vă păstra Synology NAS în siguranță. De exemplu, poate detecta lucruri obișnuite, cum ar fi lăsarea accesului SSH deschis, dacă au loc activități de conectare anormale și dacă fișierele de sistem DSM au fost modificate.
Sfat 6: Funcțiile de bază ale securității DSM ce trebuie configurate
Puteți configura o serie de setări de securitate în Control Panel > Security pentru a vă securiza conturile de utilizator.
Blocare automată IP
Deschide Control Panel și accesează Security > Auto Block. Activați blocarea automată pentru a bloca în mod automat adresele IP ale clienților care nu se conectează de un anumit număr de ori și într-o anumită perioadă. Administratorii pot, de asemenea, să pună pe lista neagră anumite adrese IP pentru a preveni potențialele atacuri de forță brută sau de denial-of-service.
Configurați numărul de încercări în funcție de mediul de utilizare și tipul de utilizatori pe care dispozitivul dvs. îi va deservi în mod regulat. Rețineți că majoritatea locuințelor și companiilor vor avea o singură adresă IP externă pentru utilizatorii lor și că adresele IP sunt adesea dinamice și se vor schimba după un anumit număr de zile sau săptămâni.
Protecția contului
În timp ce Auto Block pune pe lista neagră adresele IP care au eșuat la o prea multe încercări de autentificare, Account Protection protejează conturile de utilizatori blocând accesul clienților care nu prezintă încredere.
Accesați Control Panel > Security > Account Protection. Puteți activa Account Protection pentru a proteja conturile de eventualii clienți care nu prezintă încredere după un anumit număr de conectări eșuate. Acest lucru îmbunătățește securitatea DSM-ului dvs. și reduce riscul ca conturile să cadă pradă atacurilor cu forță brută din atacurile distribuite.
Activați HTTPS
Cu HTTPS activat, puteți cripta și securiza traficul de rețea dintre Synology NAS și clienții conectați, ceea ce vă protejează împotriva formelor obișnuite de interceptări sau atacuri de tip om-in-the-middle.
Accesați Control Panel > Network > DSM Settings. Bifați caseta de selectare pentru Automatically redirect HTTP connections to HTTPS. Acum vă veți conecta la DSM prin HTTPS. În bara de adrese, veți observa că adresa URL a dispozitivului începe cu „https://” în loc de „http://”. Dacă ați avut înainte anumite setări de firewall sau de rețea, poate fi necesar să le actualizați.
Avansat: personalizați regulile firewall-ului
Un firewall servește ca o barieră virtuală care filtrează traficul de rețea din surse externe în conformitate cu un set de reguli. Accesați Control Panel > Security > Firewall pentru a configura regulile firewall-ului pentru a preveni conectarea neautorizată și pentru a controla accesul la serviciu. Puteți decide dacă permiteți sau interziceți accesul la anumite porturi de rețea prin anumite adrese IP, o modalitate bună de a permite, de exemplu, accesul de la distanță de la un anumit birou sau de a permite accesul numai la un anumit serviciu sau protocol.
Sfat 7: HTTPS Partea 2 – Să criptăm
Certificatele digitale joacă un rol esențial în activarea HTTPS, dar sunt adesea costisitoare și dificil de întreținut, în special pentru utilizatorii care nu sunt din mediul de companie. DSM are suport încorporat pentru Let’s Encrypt, o organizație gratuită și automată care emite certificate, pentru a permite oricui să-și securizeze cu ușurință conexiunile.
Dacă aveți deja un domeniu înregistrat sau utilizați DDNS, accesați Control Panel > Security > Certificate. Faceți clic pe Add a new certificate > Get a certificate from Let’s Encrypt, pentru majoritatea utilizatorilor, ar trebui să bifați „ Set as default certificate”*. Introduceți numele de domeniu pentru a obține un certificat.
Odată ce aveți un certificat, asigurați-vă că tot traficul dvs. trece prin HTTPS (așa cum este menționat în Sfatul #3).
* Dacă v-ați configurat dispozitivul pentru a furniza servicii prin mai multe domenii sau subdomenii, va trebui să configurați ce certificat este utilizat de fiecare serviciu în Control Panel > Security > Certificate > Configure
Sfat 8: Schimbați porturile implicite
Deși schimbarea porturilor HTTP (5000) și HTTPS (5001) implicite ale DSM în porturi personalizate nu poate preveni atacurile țintite, poate descuraja amenințările comune care atacă doar serviciile predefinite. Pentru a schimba porturile implicite, accesați Control Panel > Network > DSM Settings și personalizați numerele de porturi. De asemenea, este o idee bună să schimbați portul SSH (22) implicit dacă îl utilizați în mod regulat accesul shell.
De asemenea, puteți implementa un reverse proxy invers (reverse proxy) pentru a reduce potențialii vectori de atac doar la anumite servicii web pentru o securitate sporită. Un proxy invers acționează ca un intermediar pentru comunicațiile dintre un server intern (de obicei) și clienți aflați la distanță, ascunzând anumite informații despre server, cum ar fi adresa IP reală a acestuia.
Sfat 9: Dezactivați SSH/telnet atunci când nu este utilizat
Dacă sunteți un utilizator intensiv care necesită adesea acces shell, nu uitați să dezactivați SSH/telnet atunci când nu îl utilizați. Întrucât accesul root este activat în mod implicit și SSH/telnet acceptă doar conectări din conturile de administrator, hackerii pot efectua un atac de brute-force asupra parolei dvs. pentru a obține acces neautorizat la sistemul dvs. Dacă aveți nevoie să aveți un serviciu de terminal disponibil în orice moment, vă recomandăm să setați o parolă puternică și să schimbați numărul implicit al portului SSH (22) pentru a crește securitatea. De asemenea, puteți lua în considerare utilizarea VPN-urilor și limitarea accesului SSH doar la IP-uri locale sau de încredere.
Sfat 10: Criptați folderele partajate
DSM acceptă criptarea AES-256 a folderelor dvs. partajate pentru a preveni extragerea datelor în urma atacurilor fizice. Administratorii pot cripta dosarele partajate nou create și existente.
Pentru a cripta folderele partajate existente, accesați Control Panel > Shared Folder și Edit the folder. Configurați o cheie de criptare în tabul Encryption și DSM va începe să cripteze folderul. Vă recomandăm cu căldură să salvați fișierul cheie generat într-o locație sigură, deoarece datele criptate nu pot fi recuperate fără expresia de acces folosită sau fișierul cheie.
Sfat bonus: Integritatea datelor
Securitatea datelor este indisolubil legată de consistența și acuratețea datelor dvs. – integritatea datelor. Securitatea datelor este o condiție prealabilă pentru integritatea datelor, deoarece accesul neautorizat ar putea duce la manipularea sau pierderea datelor, făcându-vă datele critice inutile.
Există două măsuri pe care le puteți lua pentru a asigura acuratețea și consistența datelor dvs.: activarea sumei de verificare a datelor și rularea în mod regulat a testelor S.M.A.R.T. Am scris despre aceste două metode de securitate în postările noastre anterioare de pe blog – verificați-le pentru mai multe informații.
Mai important ca oricând
Amenințările online evoluează mereu, iar securitatea datelor trebuie să aibă mai multe fațete. Pe măsură ce sunt introduse mai multe dispozitive conectate acasă și la locul de muncă, devine mai ușor pentru infractorii cibernetici să exploateze golurile de securitate și să obțină intrarea în rețeaua dvs. A rămâne în siguranță nu este ceva ce faci o dată și apoi uiți, este un proces continuu.